Novas

Um fornecedor de software pego em um ataque de ransomware REvil obtém uma chave de descriptografia

A Kaseya agora está ajudando a restaurar os sistemas dos clientes cujas redes ainda estavam bloqueadas pelo REvil.

“Posso confirmar que recebemos o descriptografador e estamos trabalhando atualmente para ajudar os clientes afetados”, disse o porta-voz da Kaseya, Dana Liedholm. “Não podemos compartilhar a fonte, mas podemos dizer que é de um terceiro confiável.”

Liedholm se recusou a responder a outras perguntas sobre se a chave de descriptografia foi submetida a engenharia reversa do malware REvil.

Brett Callow, analista de ameaças da Emsisoft, uma empresa de segurança cibernética, disse que sua empresa verificou a eficácia da chave na restauração dos dados das vítimas.

“Estamos trabalhando com a Kaseya para apoiar seus esforços para envolver os clientes. Confirmamos que a chave é eficaz para desbloquear as vítimas e continuará a apoiar Kaseya e seus clientes ”, disse Callow à CNN.

Destacando este ponto, Drew Schmitt, analista líder de inteligência de ameaças da GuidePoint Security, disse que, embora não estivesse envolvido na situação da Kaseya, ele estava confiante de que a chave deveria funcionar.

“Existem circunstâncias muito limitadas em que obtive o descriptografador durante as negociações e descobri que ou não funcionava ou encontrei um problema sério com ele”, disse Schmitt. “A porcentagem de casos ou incidentes em que o descriptografador simplesmente não funciona é muito baixa e está mais perto de zero do que qualquer outra coisa.”

O ataque Kasey foi considerado um dos maiores ataques de ransomware da história. Em 2 de julho, hackers vinculados ao REvil – uma gangue cibercriminosa que supostamente opera fora da Europa Oriental ou da Rússia – usaram as ferramentas de gerenciamento remoto da Kaseya para entregar malware aos clientes da Kaseya que criptografava e bloqueava seus dados.

Ainda não está claro como os invasores conseguiram obter acesso ao produto Kaseya.

Como é realmente negociar com atacantes de ransomware
Muitos dos clientes da Kaseya são empresas de suporte de TI que ajudam pequenas empresas, como dentistas, restaurantes locais e firmas de contabilidade, a atender às suas necessidades de tecnologia da informação. Quando as empresas de apoio o fizeram, isso também atingiu seus próprios clientes, levando Kasey a estimar mais tarde que até 1.500 organizações em todo o mundo poderiam ter sido atacadas por ransomware.
REvil exigiu um resgate de $ 70 milhões em troca de uma chave de descriptografia que poderia desbloquear simultaneamente todos os sistemas afetados. Mas mesmo com algumas empresas ainda balançando com o ataque, REvil desapareceu da Internet – a maioria de seus sites se tornou inativa.
O misterioso desaparecimento do grupo na semana passada gerou especulações sobre seu destino. O governo dos EUA se recusou terminantemente a dizer se havia desempenhado algum papel, embora o governo Biden tenha prometido reprimir o ransomware. E no caso do Colonial Pipeline, os policiais dos EUA conseguiram rastrear e recuperar parte do dinheiro que a empresa pagou aos atacantes de ransomware – um grupo conhecido como DarkSide, que também desapareceu.

Leave a Comment